Použití softwaru datové platformy VAST

Použití softwaru datové platformy VAST

Obsah skrýt
1 Zavedení
2 Co je datová platforma VAST
3 Segmentace sítě a uzlů
4 Logický nájem
5 Správa autorizace a identity
6 Řízení přístupu
7 Protokol ACL a štítky SELinux
8 Správa certifikátů a šifrování
9 Katalog a audit
10 Udržovaný a zabezpečený operační systém
11 Bezpečný dodavatelský řetězec softwaru
12 Závěr
13 Dokumenty / zdroje
13.1 Reference

Zavedení

V dnešním světě založeném na datech je důvěrnost a bezpečnost nestrukturovaných dat prvořadá. Multi-Category Security (MCS) a funkce zabezpečeného pronájmu nabízejí robustní rámec pro řešení těchto problémů. MCS, mechanismus řízení přístupu v Security-Enhanced Linux (SELinux), zvyšuje důvěrnost dat přiřazením specifických kategorií files a procesy. To zajišťuje, že k citlivým informacím mají přístup pouze oprávnění uživatelé a procesy, což poskytuje další vrstvu ochrany pro nestrukturovaná data, jako jsou dokumenty, obrázky a videa.

Zabezpečený nájem dále posiluje izolaci dat vytvořením odlišných prostředí pro různé skupiny, oddělení nebo organizace v rámci stejné infrastruktury. Tento přístup zajišťuje, že data každého nájemce jsou logicky nebo fyzicky oddělena, což zabraňuje neoprávněnému přístupu a zachovává soukromí dat. Mezi klíčové aspekty bezpečného pronájmu patří izolace zdrojů, segregace dat, segmentace sítě a podrobné řízení přístupu.

Datová platforma VAST je příkladem těchto principů prostřednictvím své komplexní sady funkcí, včetně VLAN tagging, řízení přístupu na základě rolí a atributů a robustní mechanismy šifrování. Tento dokument zkoumá, jak integrace MCS s bezpečným pronájmem v rámci datové platformy VAST poskytuje komplexní a bezpečné řešení pro správu nestrukturovaných dat, zejména pro organizace s přísnými požadavky na důvěrnost dat. Tento úvod je stručný, zaměřený a poskytuje jasného průvodce obsahem dokumentu, který je v souladu s osvědčenými postupy pro technickou dokumentaci.

Co je datová platforma VAST

Datová platforma VAST je komplexní řešení pro práci s nestrukturovanými daty, zejména pro AI a aplikace hlubokého učení. Integruje různé funkce pro zachycování, katalogizaci, označování, obohacování a uchovávání dat a poskytuje bezproblémový přístup k datům od okraje po cloud.

Architektura DASE (Disagregated and Shared-Everything).

Tato architektura odděluje výpočetní logiku od stavu systému a umožňuje nezávislé škálování kapacity přidáním datových uzlů (DNodes) a výkonu přidáním výpočetních uzlů (CNodů). Kombinuje sdílené a transakční datové struktury k překonání omezení tradičních distribuovaných systémů.

Podporovaní klienti: NFS, NFSoRDMA Server Message Block (SMB), Amazon S3 a kontejnery (CSI)

Co je datová platforma VAST
Bezstavové protokolové servery (CNodes)
Architektura DASE (Disagregated and Shared-Everything).

VAST DataStore

DataStore, který byl představen v roce 2019, je navržen pro ukládání a obsluhu nestrukturovaných dat. Odstraňuje kompromis mezi výkonem a kapacitou, takže je vhodný pro podnikové nestrukturované úložiště dat připravené na AI.
Databáze VAST

Tato komponenta poskytuje transakční výkon databáze, analytický výkon datového skladu a rozsah a cenovou dostupnost datového jezera. Podporuje řádkové i sloupcové ukládání dat.
VAST DataSpace

DataSpace, který byl uveden na trh v roce 2023, poskytuje globální přístup k datům od okrajů po cloud, přičemž vyvažuje přísnou konzistenci s místním výkonem. Umožňuje výpočet na datech z jakékoli veřejné, privátní nebo okrajové cloudové platformy.

Platforma sjednocuje strukturovaná a nestrukturovaná data, databázové analýzy a poskytuje globální jmenný prostor. Podporuje různé protokoly jako NFS, SMB, S3, SQL a obsahuje Apache Spark pro transformaci a spotřebu dat ze systémů pro zasílání zpráv.

Platforma je vytvořena pro podporu AI a podnikových aplikací, poskytuje hloubkovou analýzu dat v reálném čase a možnosti hlubokého učení. Zachycuje a zpracovává data v reálném čase, umožňuje vyvozování AI, obohacování metadat a přeškolování modelů.

Co je datová platforma VAST

Segmentace sítě a uzlů

Datová platforma VAST obsahuje několik funkcí souvisejících s efektivitou správy a segmentací sítě, včetně funkce seskupování CNode a také schopnosti vázat CNody na VLAN. Zde jsou podrobné popisy těchto funkcí spolu s příslušnými sekcemi z dokumentace VAST Cluster 5.1:

CNode Grouping and Pooling

Server (CNode) Pooling: Protokoly úložiště jsou obsluhovány z Compute Nodes (CNodes). Datová platforma VAST umožňuje seskupování CNodů do odlišných serverových fondů. Každý serverový fond má přiřazenou sadu virtuálních IP adres (VIP), které jsou distribuovány mezi CNody ve fondu. To poskytuje mechanismus pro Quality of Service (QoS) řízením počtu serverů přiřazených ke každému fondu. Když CNode přejde do režimu offline, VIP, které obsluhoval, jsou nerušeně přerozděleny mezi zbývající CNode ve fondu. To zajišťuje vyrovnávání zátěže a vysokou dostupnost.

  • Část: Dokumentace klastru VAST, „Správa virtuálních fondů IP“ [str. 593]

VLAN Tagging a vázání

VLAN Tagpřipojení: VLAN tagging umožňuje správcům řídit, které virtuální IP adresy jsou vystaveny kterým VLAN v síti. Tato funkce zajišťuje, že síťový provoz je izolován mezi různými VLAN, což zabraňuje neoprávněnému přístupu a úniku dat mezi tenanty. VLAN tagging se konfiguruje vytvořením virtuálních IP poolů v rámci VLAN na platformě VAST, které poskytují bezpečnou segmentaci a izolaci sítě.

  • Sekce: Dokumentace klastru VAST, “Tagging Virtual IP Pools with VLAN“ [str. 147]
  • Sekce: Network Access and Storage Provisioning (v5.1) [str. 141]

Segmentace sítě

Kontrola přístupu k Views a protokoly: A VAST View je multiprotokolová reprezentace sdíleného síťového úložiště, exportu nebo segmentu. Platforma umožňuje správcům kontrolovat, které VLAN mají přístup ke konkrétním Views a které protokoly je povoleno používat při přístupu k VIP na těchto VLAN. Tato funkce zvyšuje zabezpečení tím, že zajišťuje, že k určitým datům a službám mají přístup pouze autorizované sítě VLAN. Konfiguruje se pomocí View Zásady, které mohou specifikovat přístupová oprávnění na základě VLAN.

  • Sekce: Dokumentace klastru VAST, „Vytváření View Zásady“ [str. 628]

Logický nájem

Datová platforma VAST nabízí několik funkcí souvisejících s multi-tenancy, které umožňují bezpečnou izolaci a správu nájemců. Zde jsou klíčové funkce pronájmu spolu s podrobnými popisy a příslušnými sekcemi z dokumentace VAST Cluster 5.1:

Nájemníci

Popis: Tenanti v datové platformě VAST definují izolované datové cesty a mohou mít své vlastní zdroje ověřování, jako je Active Directory (AD), LDAP nebo NIS. Každý tenant může také spravovat své vlastní šifrovací klíče, což zajišťuje, že data zůstanou bezpečně izolovaná od ostatních tenantů. Tato funkce je zásadní pro prostředí s více nájemci, kde různé organizace nebo oddělení potřebují striktně oddělovat data.

  • Sekce: Nájemci (v5.1) [str. 251]

View Zásady

Popis: View Zásady definují přístupová oprávnění, protokoly a nastavení zabezpečení Viewje přiděleno nájemcům. Tyto zásady umožňují správcům řídit, kdo může přistupovat k datům, jaké akce mohou provádět a jaké protokoly mohou používat. Tato granulární kontrola je nezbytná pro zachování zabezpečení a dodržování předpisů v prostředích s více klienty.

  • Sekce: Řízení Views a View Zásady (v5.1) [str. 260]

Izolace VLAN

Popis: Sítě VLAN lze svázat s konkrétním tenantem a dále izolovat provoz mezi tenanty, čímž se zabrání křížovému směrování nebo vysílání vysílání přes hranici L2.

  • Sekce: Tagging Virtual IP Pools s VLAN [str. 147]

Quality of Service (QoS)

Popis: Zásady QoS poskytují podrobné řízení výkonu pro šířku pásma a IOP (vstupní/výstupní operace za sekundu) pro Viewje přiděleno nájemcům. Tyto zásady zajišťují předvídatelný výkon a zabraňují problémům se spory o zdroje, což je zvláště důležité v prostředích s více klienty, kde mohou mít různí tenanti různé požadavky na výkon. Kromě maximálních prahových hodnot QoS, které pomáhají předcházet vyčerpání výkonu, jsou k dispozici také minimální prahové hodnoty QoS, které pomáhají předcházet problému hlučných sousedů v podobě více nájemních vztahů.

  • Sekce: Kvalita služeb (v5.1) [str. 323]

Kvóty

Popis: Kvóty umožňují správcům nastavit limity kapacity Views a adresáře pro izolaci tenantů. Tato funkce zajišťuje, že žádný jednotlivý tenant nemůže spotřebovat více, než je jeho přidělený podíl zdrojů, což pomáhá předcházet neočekávanému vyčerpání zdrojů systémové kapacity.

  • Sekce: Správa kvót (v5.1) [str. 314]

Správa autorizace a identity

Správa nájemníků a identit

Popis: Tenanti v datové platformě VAST definují izolované datové cesty a mohou mít své vlastní zdroje ověřování, jako je Active Directory (AD), LDAP nebo NIS. Platforma podporuje až osm jedinečných poskytovatelů identity, které lze nakonfigurovat pro použití na úrovni tenanta.

  • Sekce: Nájemci (v5.1) [str. 251]

Views

Popis: Views jsou multiprotokolové sdílení, exporty nebo skupiny, které patří konkrétním nájemcům. Poskytují bezpečně izolovaný přístup k datům a zajišťují, že každý nájemce může přistupovat pouze ke svým vlastním datům. Views lze konfigurovat se specifickými přístupovými oprávněními a protokoly, díky čemuž jsou univerzální pro různé případy použití.

  • Sekce: Řízení Views a View Zásady (v5.1) [str. 260]

View Zásady

Popis: View Zásady definují přístupová oprávnění, protokoly a nastavení zabezpečení viewje přiděleno nájemcům. Tyto zásady umožňují správcům řídit, kdo může přistupovat k datům, jaké akce mohou provádět a jaké protokoly mohou používat. Tato granulární kontrola je nezbytná pro zachování zabezpečení a dodržování předpisů v prostředích s více klienty.

  • Sekce: Řízení Views a View Zásady (v5.1) [str. 260]

Řízení přístupu

VAST Data Platform nabízí komplexní sadu funkcí pro autorizaci a správu identit. Zde jsou podrobné popisy každé funkce spolu s příslušnými sekcemi a čísly stránek z dokumentace VAST Cluster 5.1:

Řízení přístupu

Řízení přístupu na základě rolí (RBAC)

Popis: VAST Cluster využívá systém Role-Based Access Control (RBAC) pro správu přístupu k VAST Management System (VMS). RBAC umožňuje správcům definovat role se specifickými oprávněními a přiřazovat tyto role uživatelům. To zajišťuje, že uživatelé mají přístup pouze ke zdrojům a akcím nezbytným pro jejich role, zvyšuje se bezpečnost a zjednodušuje správa.

  • Část: Autorizace přístupu a oprávnění VMS [str. 82]

Řízení přístupu na základě atributů (ABAC)

Popis: Je podporováno řízení přístupu založeného na atributech (ABAC). views přístupem přes NFSv4.1 s ověřováním Kerberos nebo přes SMB s ověřováním Kerberos nebo NTLM. ABAC umožňuje přístup k a view pokud má uživatelský účet ve službě Active Directory přidružený atribut ABAC, který odpovídá ABAC tag přiřazeno k view. To poskytuje jemné řízení přístupu na základě uživatelských atributů.

  • Sekce: Řízení přístupu založené na atributech (ABAC) [str. 269] Řízení přístupu

Ověření Single Sign-On (SSO).

Popis: VAST VMS podporuje ověřování Single Sign-On (SSO) pomocí poskytovatelů identity (IdP) založených na SAML. To umožňuje správcům VMS přihlásit se do clusteru VAST pomocí svých přihlašovacích údajů od poskytovatele identity, jako je Okta, který může navíc poskytovat funkce vícefaktorové autentizace (MFA). Jednotné přihlášení zjednodušuje proces přihlašování a zvyšuje zabezpečení centralizací ověřování.

  • Část: Konfigurace autentizace SSO ve VMS [str. 90]

Integrace služby Active Directory

Popis: VAST Cluster podporuje integraci se službou Active Directory (AD) pro ověřování a autorizaci uživatelů VMS a datových protokolů. To umožňuje organizacím využít jejich stávající infrastrukturu AD ke správě uživatelského přístupu ke zdrojům clusteru VAST. Integrace AD ​​podporuje funkce, jako je historie SID pro skupiny a uživatele, což zajišťuje bezproblémové řízení přístupu.

  • Část: Připojení k Active Directory (v5.1) [str. 347]

Integrace LDAP

Popis: Platforma podporuje integraci se servery LDAP pro ověřování a autorizaci uživatelů VMS i datových protokolů. To umožňuje organizacím používat své stávající adresáře LDAP ke správě přístupu ke zdrojům clusteru VAST, což poskytuje flexibilní a škálovatelné řešení ověřování.

  • Část: Připojení k serveru LDAP (v5.1) [str. 342]

Integrace NIS

Popis: VAST Cluster podporuje integraci se službou NIS (Network Information Service) pro autentizaci uživatele datovým protokolem. Tato funkce je užitečná pro prostředí, která spoléhají na NIS pro správu uživatelských informací a řízení přístupu.

  • Část: Připojení k NIS (v5.1) [str. 358]

Místní uživatelé a skupiny

Popis: Administrátoři mohou spravovat místní uživatele a skupiny přímo v rámci clusteru VAST. To zahrnuje vytváření, úpravy a odstraňování místních uživatelských účtů a skupin a také přidělování oprávnění a rolí těmto účtům.

  • Sekce: Správa místních uživatelů (v5.1) [str. 335]
  • Sekce: Správa místních skupin (v5.1) [str. 337] Řízení přístupu

Protokol ACL a štítky SELinux

Datová platforma VAST podporuje různé protokolové ACL a funkce štítků SELinux, což zajišťuje robustní řízení přístupu a zabezpečení. Zde jsou podrobné popisy každé funkce spolu s příslušnými sekcemi a čísly stránek z dokumentace VAST Cluster 5.1:

POSIX Access Control Lists (ACL)

Popis: Systémy VAST podporují POSIX ACL, což umožňuje správcům definovat podrobná oprávnění files a složky nad rámec jednoduchého modelu Unix/Linux. POSIX ACL umožňují přidělování oprávnění více uživatelům a skupinám a poskytují flexibilní a granulární řízení přístupu.

  • Sekce: NFS File Protokol sdílení (v5.1) [str. 154]

NFSv4 ACL

Popis: NFSv4 je stavový protokol se zabezpečeným ověřováním přes Kerberos, který podporuje podrobné seznamy ACL. Tyto seznamy ACL jsou z hlediska granularity podobné těm, které jsou k dispozici v SMB a NTFS, což umožňuje robustní řízení přístupu. Seznamy ACL NFSv4 lze spravovat pomocí standardních nástrojů Linuxu přes protokol NFS.

  • Sekce: NFS File Protokol sdílení (v5.1) [str. 154]

SMB ACL

Popis: SMB ACL jsou spravovány stejným způsobem jako sdílené složky Windows, což uživatelům umožňuje nastavit jemně strukturované Windows ACL prostřednictvím skriptů PowerShell a Windows File Průzkumník přes SMB. Tyto seznamy ACL, včetně položek seznamu odmítnutí, lze vynutit u uživatelů přistupujících současně prostřednictvím protokolů SMB i NFS.

  • Sekce: SMB File Protokol sdílení na clusteru VAST (v5.1) [str. 171]

Zásady identity S3

Popis: S3 Native Security Flavor umožňuje použití S3 Identity Policies k řízení přístupu a schopnosti nastavovat a měnit ACL podle pravidel S3. Tato funkce poskytuje granulární řízení přístupu pro buckety a objekty S3.

  • Sekce: S3 Object Storage Protocol (v5.1) [str. 182]

Víceprotokolové ACL

Popis: VAST podporuje víceprotokolové seznamy ACL a poskytuje jednotný model oprávnění pro přístup k datům napříč různými protokoly. To zajišťuje konzistentní řízení přístupu a zabezpečení bez ohledu na protokol použitý pro přístup k datům.

  • Sekce: Multi-Protocol Access (v5.1) [str. 151]

Vlastnosti štítku SELinux

1. Bezpečnostní štítky NFSv4.2

Popis: VAST Cluster 5.1 podporuje označování NFSv4.2 v omezeném režimu serveru. V tomto režimu může VAST Cluster ukládat a vracet bezpečnostní štítky files a adresáře na NFS views tenantů s podporou NFSv4.2, ale Cluster nevynucuje rozhodování o přístupu na základě štítků. Přiřazení a ověření štítků provádějí klienti NFSv4.2.

  • Sekce: Bezpečnostní štítky NFSv4.2 (v5.1) [str. 169]

Správa certifikátů a šifrování

VAST Data Platform nabízí komplexní sadu funkcí pro šifrování a správu certifikátů. Zde jsou podrobné popisy každé funkce spolu s příslušnými sekcemi a čísly stránek z dokumentace VAST Cluster 5.1:

Šifrování dat v klidu

Popis: VAST Data Platform podporuje šifrování dat v klidu pomocí externích řešení správy klíčů. Tato funkce zajišťuje, že data uložená na platformě jsou bezpečně zašifrována pomocí klíčů uchovávaných mimo VAST Cluster, což chrání data před neoprávněným přístupem. Platforma podporuje Thales CipherTrust Data Security Platform a Fornetix Vault Core pro externí správu klíčů. Každý cluster má jedinečný hlavní klíč a šifrování lze povolit během počátečního nastavení clusteru.

  • Sekce: Šifrování dat (v5.1) [str. 128]

Ověření FIPS 140-3 úrovně 1

Datová platforma VAST obsahuje OpenSSL 1.1.1 Cryptographic Module, který je ověřen FIPS 140-3 Level 1. Číslo certifikátu pro toto ověření je #4675. Veškeré šifrování dat za letu a v klidu je propojeno s kryptografickým modulem OpenSSL 1.1.1 ověřeným FIPS. Platforma využívá TLS 1.3 pro bezpečný přenos dat a 256bitové šifrování AES-XTS pro data v klidu, což zajišťuje robustní zabezpečení a shodu s průmyslovými standardy. Vylepšení zabezpečení a správy dat pomocí zabezpečení více kategorií a bezpečného pronájmu 14

  • Zdroj: Cryptographic Module Validation Program (CMVP)

Správa certifikátů TLS

Popis: Platforma podporuje instalaci a správu certifikátů TLS pro zabezpečení komunikace
se systémem VAST Management System (VMS). Správci mohou nainstalovat certifikáty TLS, aby zajistili přenos dat
mezi klienty a VMS je šifrovaný a bezpečný.

• Část: Instalace certifikátu SSL pro VMS (v5.1) [str. 78]

Ověřování mTLS pro klienty VMS

Popis: Platforma podporuje vzájemné ověřování TLS (mTLS) pro klienty VMS GUI a API. Když je povoleno mTLS, VMS vyžaduje, aby klient předložil certifikát podepsaný konkrétní certifikační autoritou. To přidává vrstvu vzájemné autentizace, ve které se klient i server vzájemně ověřují, což poskytuje další vrstvu zabezpečení pro komunikaci s VMS pro volitelnou podporu karet PIV/CAC.

  • Část: Povolení ověřování mTLS pro klienty VMS (v5.1) [str. 78]

Zabezpečení komunikace Active Directory

Datová platforma VAST poskytuje robustní bezpečnostní opatření pro ověřování Active Directory (AD) tím, že správcům umožňuje zakázat protokoly NTLM v1 a v2. NTLM (NT LAN Manager) je starší ověřovací protokol, který má známé chyby zabezpečení, takže je méně bezpečný ve srovnání s modernějšími protokoly, jako je Kerberos.

  • Část: Připojení k Active Directory (v5.1) [str. 347]

Zabezpečení přístupu S3

Datová platforma VAST zvyšuje zabezpečení přístupu S3 tím, že vám umožňuje deaktivovat podepisování Signature Version 2 (SigV2), čímž je zajištěno, že všechny interakce S3 budou prováděny pomocí bezpečnější verze Signature Version 4 (SigV4). Platforma navíc prosazuje používání TLS 1.3 pro komunikaci S3, využívající ověřené šifry FIPS 140-3.

  • Sekce: S3 Object Storage Protocol (v5.1) [str. 182]

Crypto Erase

Popis: Crypto erase je metoda k odstranění dat tenanta ze systému VAST. To se provádí odvoláním nebo odstraněním klíčů tenanta pomocí systému VAST nebo Správce externích klíčů. Systém VAST vymaže šifrovací klíče (DEK) a šifrovací klíče (KEK) ze systémové paměti RAM, čímž okamžitě odebere přístup ke všem datům zapsaným pomocí těchto klíčů. Systém VAST pak může šifrovaná data vymazat. Tato funkce poskytuje způsob, jak bezpečně odstranit data v případě úniku dat nebo když tenant opustí platformu.

Sekce: Šifrování dat (v5.1) [str. 128]

Katalog a audit

Datová platforma VAST nabízí komplexní sadu funkcí pro audit a katalogizaci, která zajišťuje robustní správu dat a shodu s předpisy. Zde jsou podrobné popisy každé funkce spolu s příslušnými sekcemi a čísly stránek z dokumentace VAST Cluster 5.1:

Audit protokolu

Popis: Audit protokolu v datové platformě VAST zaznamenává operace, které vytvářejí, odstraňují nebo upravují files, adresáře, objekty a metadata. Zaznamenává také operace čtení a aktivity relace. Tato funkce pomáhá při sledování aktivit uživatelů a zajištění souladu se zásadami zabezpečení. Správci mohou konfigurovat globální nastavení auditu a view protokoly auditu přes VAST Web UI nebo CLI.

  • Sekce: Konec auditu protokoluview [str. 243]
  • Část: Konfigurace globálního nastavení auditu [str. 243]
  • Sekce: Konfigurace auditování s View Zásady [str. 245]
  • Sekce: Auditované protokolové operace [str. 245]
  • Sekce: ViewProtokoly auditu protokolu [str. 248]

Ukládání protokolů auditu protokolu do databázových tabulek VAST

Popis: VAST Data Platform umožňuje konfiguraci VMS pro ukládání protokolů auditu protokolu do tabulky databáze VAST. Záznamy protokolu jsou uloženy jako záznamy JSON, což může být viewpřímo z VAST Web UI na stránce protokolu auditu VAST. Tato funkce zvyšuje schopnost provádět podrobné audity a analýzy aktivit uživatelů. Část: Ukládání protokolů auditu protokolu do databázových tabulek VAST [str. 25]

Katalog VAST

Popis: Katalog VAST je vestavěný index metadat, který uživatelům umožňuje rychle vyhledávat a nacházet data. Zachází se s file systém jako databáze, což umožňuje aplikacím nové generace AI a ML používat jej jako úložiště vlastních referenčních funkcí. Katalog podporuje dotazy ve stylu SQL a poskytuje intuitivní WebUživatelské rozhraní, bohaté rozhraní CLI a rozhraní API pro interakci.

  • Sekce: Konec katalogu VASTview [str. 489]
  • Část: Konfigurace katalogu VAST [str. 491]
  • Sekce: Dotazování katalogu VAST z VAST Web UI [str. 492]
  • Část: Poskytování klientského přístupu k CLI katalogu VAST [str. 493] Katalog a audit

Databáze VAST

Popis: Databáze VAST rozšiřuje možnosti katalogu VAST ukládáním složitějšího obsahu do plně vybavené databáze. Podporuje vysokorychlostní a masivní datové dotazy a ukládá data v efektivním sloupcovém formátu podobnému Apache Parquet. Databáze je navržena pro jemnozrnné dotazy v reálném čase do rozsáhlých rezerv tabulkových dat a katalogizovaných metadat.

  • Sekce: Databáze VAST přesview [str. 495]
  • Část: Konfigurace klastru VAST pro přístup k databázi [str. 499]
  • Část: Průvodce rychlým startem CLI databáze VAST [str. 494]

Pole záznamu protokolu auditu

Popis: Pole záznamu protokolu auditu poskytují podrobné informace o každé zaznamenané události, včetně typu operace, podrobností o uživateli a časuamps a dotčené zdroje. Toto podrobné protokolování je klíčové pro shodu a forenzní analýzu.

  • Část: Pole záznamu protokolu auditu [str. 250]

Viewprotokolů auditu protokolu

Popis: Správci mohou view protokoly auditu protokolu prostřednictvím VAST Web UI nebo CLI. Protokoly poskytují přehled o činnostech uživatelů a systémových operacích, pomáhají zajistit shodu a odhalit jakékoli neoprávněné akce.

  • Sekce: ViewProtokoly auditu protokolu [str. 248]

Udržovaný a zabezpečený operační systém

Datová platforma VAST využívá komplexní přístup k zabezpečení svého operačního systému a zajišťuje robustnost
ochranu a soulad s průmyslovými standardy. Zde jsou klíčové aspekty operačního systému a implementovaná bezpečnostní opatření:

Udržovaný operační systém

Popis: VAST Data Platform používá udržovaný operační systém poskytovaný společností CIQ, konkrétně Enterprise Rocky 8, což je bitová kopie operačního systému kompatibilní s binárním systémem RHEL. Mountain Platform společnosti CIQ poskytuje bezpečné, autoritativní a vysoce škálovatelné řešení pro doručování obrázků, balíčků a kontejnerů, které je k dispozici ve veřejném cloudu i na místě.

Pravidelné opravy a správa zranitelnosti

Popis: VAST zajišťuje, že operační systém je pravidelně opravován a aktualizován tím, že zůstává informován o nejnovějších bezpečnostních slabinách, aplikuje potřebné opravy a včas implementuje vhodná zmírnění. Tento proaktivní přístup pomáhá udržovat bezpečnostní pozici operačního systému.

Nepřetržité monitorování

Popis: Pro udržení pozice zabezpečení operačního systému jsou implementovány postupy nepřetržitého monitorování. To zahrnuje pravidelná hodnocení, audity a reviews bezpečnostními kontrolami a konfiguracemi systému a také umožněním protokolování podezřelých aktivit a potenciálních bezpečnostních incidentů.

Soulad s DISA STIG

Popis: Datová platforma VAST podporuje DISA STIG (Security Technical Implementation Guide) pro RedHat Linux 8, MAC 1 Profile – Kritická klasifikace. Tato shoda zajišťuje, že operační systém dodržuje přísné bezpečnostní standardy požadované zákazníky v regulovaných prostředích.

Správa konfigurace

Popis: Platforma udržuje základní konfiguraci pro systémy RHEL 8, včetně nastavení systémových komponent, file oprávnění a instalace softwaru. Také implementuje procesy řízení změn ke sledování, reviewa schvalovat změny konfigurace systému a zajistit, aby systémy dodržovaly bezpečnou a standardizovanou konfiguraci.

Nejméně funkčnosti

Popis: Princip nejmenší funkčnosti je zdůrazněn doporučením odstranění nebo zakázání nepotřebného softwaru, služeb a systémových komponent. To snižuje potenciální zranitelnosti a útočné vektory.

Integrita systému a informací

Popis: Funkce šifrování a správy klíčů platformy, stejně jako její integrace se systémy SIEM, pomáhají zajistit integritu dat a informací. To zahrnuje pravidelná bezpečnostní hodnocení, penetrační testování a správu zranitelnosti s cílem zajistit aktuální bezpečnostní záplaty, konfigurace a osvědčené postupy.

Bezpečný dodavatelský řetězec softwaru

Zajištění bezpečného dodavatelského řetězce softwaru je zásadní pro soulad s předpisy, jako je zákon o obchodních dohodách (TAA), federální nařízení o akvizicích (FAR) a normy ISO. Datová platforma VAST zavádí komplexní opatření k zabezpečení svého dodavatelského řetězce softwaru a zajišťuje, že software je vyvíjen správně a splňuje přísné bezpečnostní požadavky.

Secure Software Development Framework (SSDF)

Datová platforma VAST přijímá NIST Secure Software Development Framework (SSDF), který poskytuje pokyny pro bezpečný vývoj softwaru. Tento rámec pomáhá chránit softwarové dodavatelské řetězce před riziky tím, že navrhuje postupy pro bezpečné kódování, správu zranitelnosti a nepřetržité monitorování.

Analýza složení softwaru (SCA)

Nástroje jako GitLab se používají pro statické testování zabezpečení aplikací (SAST) a dynamické testování zabezpečení aplikací (DAST) k analýze zranitelností proprietárního i otevřeného kódu. To je zásadní pro identifikaci slabých míst zabezpečení před nasazením.

Softwarový kusovník (SBOM)

Platforma generuje a spravuje SBOM pro sledování komponent používaných při vývoji softwaru. GitLab a Artifactory jsou využívány ke zvýšení transparentnosti a souladu s výkonným nařízením 14028.

Potrubí průběžné integrace a průběžného zavádění (CI/CD).

Potrubí CI/CD zahrnuje bezpečnostní testování, code reviewa kontroly souladu. Potrubí je hostováno na americké cloudové platformě, která splňuje požadavky TAA/FAR a zajišťuje, že všechny operace jsou prováděny v USA a řízeny americkými subjekty.

Podepisování kontejnerů a balíčků

Pro zajištění integrity a autenticity je implementováno digitální podepisování kontejnerů a balíčků. Docker Content Trust a RPM podepisování jsou doporučené postupy pro zabezpečení kontejnerizovaných aplikací a distribucí balíčků.

Skenování zranitelnosti a dodržování předpisů

Nástroje jako Tenable a Qualys se používají ke skenování operačních systémů a sestavování balíčků a také k detekci virů a malwaru. Tyto nástroje jsou začleněny do kanálu k identifikaci a zmírnění potenciálních hrozeb v softwarovém prostředí.

Správa softwaru třetích stran

Veškerý software třetích stran, ať už open source nebo proprietární, pochází z míst v USA, aby byl v souladu s předpisy TAA/FAR. Tento software je součástí skenovacích procesů SAST a DAST, aby byla zajištěna bezpečnost.

Dokumentace a kontrolní záznamy

Je udržována komplexní dokumentace celého procesu od načtení kódu až po stažitelný balíček používaný zákazníky. Tato dokumentace je přístupná v rámci NDA pro audity a ověření zákazníky, jak to vyžaduje vedení.

Správa zaměstnanců a majetku

Proces je řízen zaměstnanci amerického subjektu (Vast Federal) a veškerá aktiva použitá v procesu vývoje a nasazení softwaru jsou ve vlastnictví tohoto subjektu. Tato shoda je zásadní pro splnění federálních předpisů pro akvizice.

Bezpečné vývojové prostředí

Software je vyvíjen a postaven v zabezpečených prostředích s opatřeními, jako je vícefaktorová autentizace, podmíněný přístup a šifrování citlivých dat. Je vynucováno pravidelné protokolování, monitorování a auditování důvěryhodných vztahů.

Důvěryhodné dodavatelské řetězce zdrojového kódu

Automatizované nástroje nebo srovnatelné procesy se používají k ověření bezpečnosti interního kódu a komponent třetích stran a efektivní správě souvisejících zranitelností.

Kontroly zranitelnosti zabezpečení

Před vydáním nových produktů, verzí nebo aktualizací se provádějí průběžné kontroly zranitelnosti. Je udržován program odhalení zranitelnosti, aby bylo možné rychle posoudit a řešit odhalené zranitelnosti softwaru.

Závěr

Integrace Multi-Category Security (MCS) s funkcemi zabezpečeného pronájmu poskytuje robustní rámec pro zvýšení důvěrnosti a zabezpečení nestrukturovaných dat. Využitím MCS mohou organizace přiřadit konkrétní kategorie files, zajišťující, že k citlivým informacím mají přístup pouze autorizované procesy a uživatelé. Tato další vrstva zabezpečení je zásadní pro ochranu nestrukturovaných dat, jako jsou dokumenty, obrázky a videa.

Zabezpečený nájem dále posiluje izolaci dat vytvořením odlišných prostředí pro různé skupiny, oddělení nebo organizace v rámci stejné infrastruktury. Klíčové aspekty, jako je izolace zdrojů, segregace dat, segmentace sítě a podrobné řízení přístupu zajišťují, že data každého tenanta zůstanou soukromá a bezpečná. Datová platforma VAST je příkladem těchto principů prostřednictvím své komplexní sady funkcí, včetně VLAN tagging, řízení přístupu na základě rolí a atributů a robustní mechanismy šifrování.

Stručně řečeno, datová platforma VAST s integrací MCS a bezpečným pronájmem poskytuje komplexní a bezpečné řešení pro správu nestrukturovaných dat. Tento přístup je nezbytný pro organizace s přísnými požadavky na důvěrnost dat, jako jsou vládní agentury, finanční instituce a poskytovatelé zdravotní péče. Zavedením těchto pokročilých bezpečnostních opatření mohou organizace s jistotou chránit svá citlivá data a zároveň umožnit efektivní a škálovatelnou správu dat. Tento závěr zachovává klíčové body a zároveň zajišťuje jasnost a stručnost.

Závěr

 

Symbol Chcete-li získat další informace o datové platformě VAST a o tom, jak vám může pomoci vyřešit problémy s aplikací, kontaktujte nás na adrese ahoj@vastdata.com.

Logo

Dokumenty / zdroje

Software datové platformy VAST [pdfUživatelská příručka
Software datové platformy, software platformy, software
Software datové platformy VAST [pdfUživatelská příručka
Software datové platformy, software platformy, software

Reference

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Povinná pole jsou označena *